分享
 
 
 

Solaris8模块加载严重系统漏洞

王朝other·作者佚名  2006-11-24
窄屏简体版  字體: |||超大  

Solaris8模块加载严重系统漏洞

(该漏洞不依赖任何其他的setuid程序)

侯杰(jerryhj@yeah.net)

最近,我在Solaris8上研究内核模块问题时,意外发现, Solaris8在执行内核模块加载过程中,存在严重系统漏洞。

作为结果,任何普通用户都将可以拥有root权限。我们知道 Solaris上出现了很多系统漏洞,他们中的很多是缓冲区溢出 漏洞,利用这种类型的漏洞必须要求含有该漏洞的可执行文件 具有setuid标志。而大多数有经验的管理员已经将这些文件 的setuid标志去掉了。我下面介绍的方法不依赖任何其他的 setuid程序,就是说,你有执行程序的权利,你就是root了!

先让我们了解一下内核模块的基本知识,现代*作系统 大多拥有两种工作状态:核心态和用户态。我们使用的一般 应用程序工作在用户态,而内核模块和最基本的*作系统核 心一同工作在核心态。

为什么不在*作系统核心中实现所有功能,而要使用内 核模块呢?因为随着软件技术的向前发展,*作系统核心需 要支持的功能越来越多,体积也越来越大,如果在*作系统 核心中实现所有功能我们就将拥有一个庞大而缓慢的*作系 统内核了。

内核模块提供给我们一个较好的解决方案:在*作系统 启动时,仅加载最核心的部分,随着使用的应用程序需要, 再由*作系统动态的将相关的内核模块加载到核心态,不用 的时候就可以将这些模块卸载出内存。这样我们的内核就可 以即功能强大,又小巧快捷了。

现在步入正题,我们知道黑客们总是将获得root权限作 为目的,其实如果你可以在核心态运行你的程序,你一样可

以获得一般账号没有的权限,甚至比root权限更高级的权限。

因为*作系统只在用户态对用户权限进行限制。换句话说, 就是如果你可以在核心态运行你的程序,那么你就可以为所 欲为了。所以一般*作系统都只准许root账号来加载这种可 以运行在核心态的内核模块,Solaris8也不例外 (modload命令)。

但是在Solaris8上还有一些其他的命令(或系统调用), 可以最终导致系统加载内核模块,这些命令中的一些不需要 root账号。当然对于那些总是加载固定内核模块的命令,他 们也是安全的。那么有没有不需要root账号而又可以指定加 载某个内核模块的命令呢?

有!priocntl系统调用就是一个。priocntl是和进程切 换相关的一条系统调用,当他的第三个参数是PC_GETCID时, 他会加载在第四个参数中指定的内核模块。例:

......

pcinfo_t pcinfo;

strcpy(pcinfo.pc_clname, "RT");

if(priocntl(0,0,PC_GETCID,(caddr_t)&pcinfo)==-1)

printf("error = d!\n",errno);

else

printf("OK!\n");

......

编译并运行他,然后利用命令"modinfo | grep RT"我们会发 现RT内核模块被Solaris8加载了。 好!这是最关键的地方,也是产生漏洞的地方!priocntl 系统调用加载内核模块的缺省路径是/kernel/sched和 /usr/kernel/sche(除非你在/etc/system文件中指定的其他

路径),而这两个路径及其中的文件都是只有root才有写权限 的,我们无法将自己的内核模块放到这两个目录中,但是!

priocntl居然支持"../"!!!改写的代码如下:

......

pcinfo_t pcinfo;

strcpy(pcinfo.pc_clname, "../../tmp/gsu");

if(priocntl(0,0,PC_GETCID,(caddr_t)&pcinfo)==-1)

printf("error = d!\n",errno);

else

printf("OK!\n");

......

然后编写一个自己的内核模块gsu,并放到/tmp目录下(/tmp目 录对我们是有写权限的)。OK!Solaris8将gsu加载到内核了!! 这里还有一个小问题,就是如果这个内核模块成功加载了, 那么Solaris8将使用这个内核模块,那就不知道会发生什么了。 可是我们的目的不是要加载这个内核模块,我们只需要我们的代码运行在核心态就可以了,可以编写模块代码如下:

#include

#include

_init()

{

/* 在这里加入我们需要的代码 */

return -1;

}

_info(struct modinfo *modinfop)

{

return -1;

}

在函数_init中返回-1,表示加载模块失败,但没关系,我们 的代码已经运行了。

可以利用了上述功能将一个文件的所有者修改为root。而 这个文件恰恰拥有可执行和setuid标志...... 其实,我们使用上述功能修改文件所有者,已经是"大才 小用"了,利用它我们可以实现隐藏文件,隐藏进程,截获系统 调用等等一切可以想到的功能。

那么,我们如何防止这种黑客行为呢?

屏蔽priocntl系统调用?(怎么做能实现?)

取消所有用户的执行程序权限?(#¥#¥#¥)

我们还是盼望SUN公司尽早推出对应这个漏洞的patch吧!

上述漏洞,已通知Sun Microsystems.

(转载请注明作者)

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。 使用者风险自负!

代码下载http://www.mycgiserver.com/~jerryhj/Gsu.zip ;(18K)

(该网站连接不稳定,请多试几遍)

=========================================================

测试成功(转载注)。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有